Leidraad om te komen tot een praktijk van Responsible

advertisement
Leidraad om te komen tot een praktijk
van Responsible Disclosure
1
Leidraad om te komen tot een praktijk van Responsible Disclosure
Inhoudsopgave
1 Wat is een kwetsbaarheid
2 Responsible Disclosure
3Verantwoordelijkheden
4 Bouwstenen voor Responsible Disclosure
2
Leidraad om te komen tot een praktijk van Responsible Disclosure
Inleiding
Ruim een derde van de kwetsbaarheden leidt potentieel tot
volledige inbreuk op beveiligingsaspecten1
Informatie en communicatietechnologie (ICT)
zijn doorgedrongen in de haarvaten van de
maatschappij. Enerzijds zorgt ICT voor enorme
gebruiksmogelijkheden. Anderzijds zorgt de
wijde toepassing van ICT en de omvang hiervan
ook dat de potentiële impact van kwetsbaarheden
is vergroot. Daarmee is het gemeenschappelijke
belang van het op effectieve wijze omgaan met
ICT-kwetsbaarheden sterk gestegen.
De ICT-security-community bestaat uit een diversiteit van spelers,
die op uiteenlopende wijze kennis verkrijgen over kwetsbaarheden
in systemen. Een voorname drijfveer bij de white-hat hackers
en beveiligingsonderzoekers is het leveren van een bijdrage aan
de veiligheid van ICT-systemen door kwetsbaarheden en risico’s
aan de kaak te stellen. Hiermee kunnen goedwillende hackers en
beveiligingsonderzoekers een belangrijke rol vervullen naar partijen die
kwetsbare systemen bezitten.
Voor publieke en private partijen schuilt er een groot belang in. In de
dagelijkse praktijk zijn zij in sterke mate afhankelijk van het ongestoord
functioneren van informatiesystemen. Het verkrijgen van kennis over
de kwetsbaarheden in de eigen systemen en de beveiliging hiervan
verbeteren is daarmee noodzakelijk voor de dagelijkse bedrijfsvoering.
Momenteel bestaat er bij beveiligingsonderzoekers angst om deze
kwetsbaarheid rechtstreeks bij een bedrijf te melden. Hierdoor wordt
een kwetsbaarheid bijvoorbeeld indirect en via de media naar buiten
gebracht. Dit is een onwenselijke situatie aangezien in dat geval de
kwetsbaarheid nog steeds bestaat. Sterker nog, in sommige gevallen
is er zelfs sprake van specifieke aanvalssoftware om de kwetsbaarheid
uit te buiten. In veel gevallen leidt dit tot een incident waarbij zowel
de goedwillende partij in een kwaad daglicht wordt gesteld en waarbij
de kwetsbare organisatie niet gelijk een stap kan zetten in het verder
verhogen van de beveiliging.
Dit laat zien dat het van groot belang is om deze partijen bij elkaar
te brengen. Deze leidraad beoogt er toe bij te dragen dat melders die
kennis hebben van kwetsbaarheden en deze verholpen willen zien en de
organisaties die hiermee te maken hebben en afhankelijk zijn van deze
kwetsbare systemen bij elkaar komen.
Succesvolle uitbuiting leidt bij ruim een derde van de bekende
kwetsbaarheden tot volledige inbreuk op beveiligingsaspecten.
Kwaadwillenden kunnen in dit geval:
• het systeem volledig onbeschikbaar maken (beschikbaarheid);
• elk bestand op het systeem aanpassen (integriteit);
• toegang verkrijgen tot alle bestanden op het systeem
(vertrouwelijkheid).
Te verwachten is dat zelfs met een afnemend aantal bekende
kwetsbaarheden deze een belangrijke bron blijven voor
toekomstige incidenten. Belangrijkste reden is dat deze niet
door organisaties verholpen worden of verholpen kunnen
worden.
Om partijen bij elkaar te brengen is het goed om samen te werken
op basis van afspraken. Met goede afspraken hebben alle partijen
meer zekerheid over hun positie en kan een bijdrage worden geleverd
aan het gezamenlijke doel; het verhogen van de veiligheid van
informatiesystemen. Deze leidraad biedt organisaties inzicht in de wijze
waarop vorm kan worden gegeven aan het vaststellen van een eigen
beleid inzake responsible disclosure, om zo te bevorderen dat zij in
goede samenwerking met de ICT-security-community kwetsbaarheden
gemeld krijgen. Voor hackers en onderzoekers is het een van waarborgen
voorziene handelwijze.
De geldende strafrechtelijke kaders worden niet aangetast, de leidraad
beoogt wel een handreiking te bieden aan organisaties om door middel
van een eigen beleid constructief te kunnen samenwerken met alle
partijen die de veiligheid van ICT-systemen hoog in het vaandel hebben
staan. Hiermee wordt actief bijgedragen aan het verminderen van
de veiligheidsrisico’s die kwetsbaarheden opleveren en de mogelijke
negatieve maatschappelijke, economische en financiële gevolgen die uit
deze kwetsbaarheden kunnen voortvloeien.
Bij de totstandkoming is gesproken met een brede en diverse groep
van potentiële melders, private partijen en publieke partijen. Deze
gesprekken hebben de basis gelegd voor de in deze leidraad genoemde
bouwstenen. Deze bouwstenen kunnen de basis vormen voor
organisaties die zelf een beleid ten aanzien van responsible disclosure
willen vaststellen om een dergelijke vorm van openbaarmaking te
bevorderen. Meerdere partijen hebben de afgelopen maanden reeds
initiatieven genomen om een beleid voor responsible disclosure uit te
dragen. Deze initiatieven zijn dan ook nadrukkelijk meegenomen in de
uitwerking van deze leidraad.
In de volgende hoofdstukken wordt respectievelijk ingegaan op:
kwetsbaarheden, de definitie van responsible disclosure en de
bouwstenen voor responsible disclosure.
1
3
Leidraad om te komen tot een praktijk van Responsible Disclosure
Zie voor meer informatie het Cyber Security Beeld Nederland 2 (CSBN-2)
Hoofdstuk 1
Wat is een kwetsbaarheid
Kwetsbaarheden in ICT komen op diverse plaatsen in hard- en
software voor en kennen vele gradaties. Gemeenschappelijke deler
is dat het uitbuiten van de kwetsbaarheid kan leiden tot mogelijke
veiligheidsrisico’s.
De kwetsbaarheid is een eigenschap van een samenleving,
organisatie of informatiesysteem of een onderdeel daarvan
die afbreuk doet aan de weerbaarheid van deze entiteit. Een
kwetsbaarheid biedt een kwaadwillende partij de kans om
schade toe te brengen omdat de bescherming tegen schade te
wensen overlaat. Zo kan een kwaadwillende partij bijvoorbeeld
de legitieme toegang tot informatie of functionaliteit
verhinderen en beïnvloeden dan wel ongeautoriseerd
benaderen.
Kwetsbaarheden vormen de ‘toegangspoorten’ waarlangs
dreigingen kunnen leiden tot incidenten. Het verhelpen van
kwetsbaarheden is een directe manier om dreigingen af te
laten nemen en de kans op incidenten te verkleinen.
Systemen kunnen door kwetsbaarheden mogelijkerwijs uitvallen
(beschikbaarheid), data binnen het systeem kunnen gewijzigd worden
(integriteit) en data kunnen toegankelijk worden voor personen die daar
niet toe gemachtigd zijn (vertrouwelijkheid).
ICT-kwetsbaarheden kunnen, juist voor organisaties die in sterke mate
afhankelijk zijn van ICT, ten aanzien van beschikbaarheid, integriteit
en vertrouwelijkheid grote gevolgen hebben, zeker indien deze
kwetsbaarheden bij de betrokken organisatie nog niet bekend zijn.
4
Leidraad om te komen tot een praktijk van Responsible Disclosure
Hoofdstuk 2
Responsible Disclosure
In de ICT-wereld bestaan meerdere praktijken om kwetsbaarheden
in ICT bekend te maken. Voorbeelden hiervan zijn de zogeheten ‘full
disclosure’, oftewel het volledig publiekelijk bekendmaken van een
kwetsbaarheid en een verantwoorde wijze van responsible disclosure.
Bij het volledig publiek maken van een kwetsbaarheid is deze nog
steeds aanwezig en kan een veiligheidsrisico ontstaan. De praktijk van
responsible disclosure heeft dan ook nadrukkelijk de voorkeur.
Binnen de ICT-community is veel kennis en de wil om deze te delen met
betrekking tot kwetsbaarheden in ICT alsmede de wijze waarop deze
verholpen kunnen worden. De samenwerking met de ICT-community
is daarmee van het grootste belang in het kader van het gezamenlijke
streven naar cyber security.
Responsible disclosure binnen de ICT-wereld is het op een
verantwoorde wijze en in gezamenlijkheid tussen melder en
organisatie openbaar maken van ICT-kwetsbaarheden op basis
van een door organisaties hiervoor vastgesteld beleid voor
responsible disclosure
Doel van responsible disclosure
Het doel van responsible disclosure is het bijdragen aan de veiligheid van
ICT systemen en het beheersen van de kwetsbaarheid van ICT-systemen
door kwetsbaarheden op verantwoorde wijze te melden en deze
meldingen zorgvuldig af te handelen, zodat schade zo veel als mogelijk
kan worden voorkomen of beperkt. Hierbij dient dan voldoende tijd
voor herstel beschikbaar te zijn alvorens tot openbaarmaking wordt
overgegaan.
5
Leidraad om te komen tot een praktijk van Responsible Disclosure
Centraal bij het werken met responsible disclosure staat het verhelpen
van de kwetsbaarheid en het verhogen van de veiligheid van
informatiesystemen.
Bij responsible disclosure staat voorop dat partijen zich over en weer
houden aan afspraken over het melden van de kwetsbaarheid en de
omgang hiermee. Een partij die een responsible disclosure policy
vaststelt kan zich bijvoorbeeld binden aan het principe om geen aangifte
te doen als aan de volgens het beleid geldende spelregels wordt voldaan.
Bij de praktijk van responsible disclosure zijn primair de melder en de
organisatie, die eigenaar/beheerder van het systeem is, betrokken. Het is
van belang om zo min mogelijk schakels te hebben tussen de persoon die
de kwetsbaarheid meldt en de organisatie die verantwoordelijk is voor
het oplossen van het probleem. De melder en de organisatie kunnen
echter gezamenlijk besluiten om het Nationaal Cyber Security Centrum
(NCSC) of andere partijen binnen de ICT-security-community in te lichten
over de kwetsbaarheid, zeker bij een nog niet bekende kwetsbaarheid,
om ook elders (vervolg)schade te voorkomen of te beperken.
In hoofdstuk 3 wordt nader ingegaan op de respectievelijke
verantwoordelijkheden van partijen. In hoofdstuk 4 wordt ingegaan op
de bouwstenen voor responsible disclosure.
Hoofdstuk 3
Verantwoordelijk­heden
Met het voeren van een beleid voor responsible disclosure wordt
beoogd dat in gezamenlijkheid door melder en organisatie een
bijdrage wordt geleverd aan het verminderen van kwetsbaarheden
in informatiesystemen. Het werken met responsible disclosure
laat echter de bestaande verantwoordelijkheden en verplichtingen
onverlet. De verschillende actoren die betrokken zijn bij responsible
disclosure hebben allemaal een eigen rol. Hieronder staan beknopt de
respectievelijke verantwoordelijkheden.
De organisatie die eigenaar/beheerder is van een informatiesysteem
De organisatie, die eigenaar/beheerder of leverancier is van een
informatiesysteem, is primair verantwoordelijk voor de beveiliging
van dit systeem. Daarmee is de organisatie ook verantwoordelijk voor
de wijze waarop een vervolg wordt gegeven aan de melding van een
kwetsbaarheid. De organisatie kan ervoor kiezen om aan de hand
van deze leidraad een openlijk uit te dragen beleid voor responsible
disclosure vast te stellen.
De melder van een kwetsbaarheid
De spil in het kunnen voeren van een praktijk van responsible disclosure
is de melder. De melder heeft op enigerlei wijze een kwetsbaarheid weten
te constateren en wil bijdragen aan de veiligheid van informatiesystemen
door deze kwetsbaarheid openbaar te maken en de kwetsbaarheid bij
een organisatie te laten verhelpen. De melder van een kwetsbaarheid
is verantwoordelijk voor het eigen handelen en de wijze waarop hij/
zij de kwetsbaarheid ontdekt heeft. Het melden van de kwetsbaarheid
vrijwaart de melder, indien hij bij het aantonen van de kwetsbaarheid
een strafbaar feit heeft gepleegd, niet van de mogelijkheid van een
strafrechtelijk onderzoek en vervolging. Organisatie en melder kunnen in
het kader van responsible disclosure wel overeenkomen dat ten aanzien
van eventueel strafrechtelijk handelen geen aangifte zal worden gedaan.
Eveneens kan worden afgesproken dat er geen civielrechtelijke stappen
worden ondernomen.
Het NCSC
Responsible disclosure is primair een aangelegenheid die organisatie en
melder aangaat en waartoe een organisatie een beleid kan vaststellen.
Dit neemt echter niet weg dat het NCSC een rol heeft in het stimuleren
van het voeren van een beleid van responsible disclosure. Tevens heeft
het NCSC een rol in het uitdragen van kennis over kwetsbaarheden in ICT
aan de overheid en de vitale sectoren. Het NCSC kan door organisaties
worden betrokken bij het zo nodig over geconstateerde kwetsbaarheden
informeren van andere organisaties. Het NCSC zal, indien een melding
direct bij het NCSC wordt gedaan, trachten de melder in contact te
brengen met de betrokken organisatie.
6
Leidraad om te komen tot een praktijk van Responsible Disclosure
Hoofdstuk 4
Bouwstenen voor Responsible Disclosure
Hieronder zijn de bouwstenen voor responsible disclosure weergegeven.
Deze bouwstenen zien toe op de organisatie, de melder en het NCSC.
4.1 De organisatie
Het uitdragen van responsible disclosure begint bij een organisatie die
eigenaar is van informatiesystemen of leverancier van een product.
De eigenaar/leverancier is immers primair verantwoordelijk voor de
informatiebeveiliging van deze systemen of producten. Belangrijk hierin
is dat de organisatie de keuze heeft om een beleid voor responsible
disclosure vast te stellen en te voeren. Op deze wijze kan op effectieve
wijze gewerkt worden aan het oplossen van kwetsbaarheden.
Door het opstellen van een eigen beleid voor responsible disclosure
maakt de organisatie duidelijk op welke wijze zij wil omgaan met
meldingen van kwetsbaarheden. Dit wordt reeds door diverse partijen
gedaan en kan als volgt werken:
De organisatie stelt een beleid voor responsible disclosure vast en
maakt het beleid voor responsible disclosure publiekelijk kenbaar.
De organisatie maakt het laagdrempelig voor een melder om
een melding te doen. Dit kan door een gestandaardiseerde wijze,
bijvoorbeeld een online formulier, te gebruiken voor het doen
van meldingen. Hierbij kan de organisatie de afweging maken om
anonieme meldingen in ontvangst te nemen.
• De organisatie reserveert capaciteit om adequaat op meldingen te
kunnen reageren.
• De organisatie neemt de melding over een kwetsbaarheid in ontvangst
en zorgt ervoor dat deze zo snel mogelijk terecht komt bij de afdeling
die de melding het beste kan beoordelen en in behandeling kan nemen.
• De organisatie stuurt een ontvangstbevestiging van de melding, bij
voorkeur digitaal ondertekend om de prioriteit te benadrukken, aan de
melder. Hierna treden de organisatie en de melder in contact over het
verdere proces.
7
Leidraad om te komen tot een praktijk van Responsible Disclosure
• De organisatie bepaalt in overleg met de melder de termijn
waarop eventuele bekendmaking zal plaatsvinden. Een redelijke
standaardtermijn die kan worden gehanteerd voor kwetsbaarheden in
software is 60 dagen. Het verhelpen van kwetsbaarheden in hardware
is lastiger te realiseren, hierbij kan een redelijke standaardtermijn van 6
maanden worden gehanteerd.
• In overleg kan het wenselijk zijn om deze termijn uit te breiden of in
te korten, indien veel of juist weinig systemen afhankelijk zijn van het
systeem ten aanzien waarvan de kwetsbaarheid gemeld wordt.
• Als een kwetsbaarheid niet of moeilijk op te lossen is, of indien er hoge
kosten mee gemoeid zijn, kunnen melder en organisatie afspreken om
de kwetsbaarheid niet openbaar te maken.
• De organisatie houdt de melder en overige betrokkenen op de hoogte
van de voortgang van het proces.
• De organisatie kan uitdragen dat de organisatie de melder credits zal
geven, als de melder dat wenst, voor het doen van de melding.
• De organisatie kan ervoor kiezen om een melder een beloning/
waardering te geven voor het melden van kwetsbaarheden in ICTproducten of -diensten, indien de melder zich aan de in het beleid
opgenomen spelregels heeft gehouden. De hoogte van de beloning kan
afhankelijk zijn van de kwaliteit van de melding.
• De organisatie kan in overleg met de melder afspreken om de bredere
ICT-community te informeren over de kwetsbaarheid indien het
aannemelijk is dat de kwetsbaarheid ook op andere plaatsen aanwezig
is.
• De organisatie spreekt zich in het vastgestelde beleid uit over het niet
ondernemen van juridische vervolgstappen indien conform het beleid
wordt gehandeld.
4.2 De melder
De spil in het kunnen voeren van een praktijk van responsible disclosure
is de melder. De melder heeft op enigerlei wijze een kwetsbaarheid weten
te constateren en wil bijdragen aan de veiligheid van informatiesystemen
door deze kwetsbaarheid openbaar te maken en de kwetsbaarheid bij
een organisatie te laten verhelpen. Melders erkennen hiermee dat zij een
belangrijke maatschappelijke verantwoordelijkheid hebben en nemen
die door kwetsbaarheden op verantwoorde wijze te openbaren. Om tot
een succesvolle praktijk van responsible disclosure te komen, gelden
voor de melder de volgende bouwstenen:
4.3 Het NCSC
Primair is responsible disclosure een aangelegenheid die organisaties
en melder aangaat. Het NCSC zal echter het gebruikmaken van een
beleid van responsible disclosure stimuleren. Tevens kan het NCSC
in samenspraak tussen melder en organisatie betrokken worden om
informatie over de kwetsbaarheid met de doelgroep te delen om daarmee
verdere veiligheidsrisico’s, die voortvloeien uit de kwetsbaarheid, te
beperken. Indien een (potentiële) melder direct in contact treedt met het
NCSC, zal het NCSC trachten de melder met de organisatie in contact te
brengen.
• De melder is verantwoordelijk voor het eigen handelen en zorgt ervoor
dat de melding primair bij de (systeem/informatie)eigenaar wordt
gedaan.
Het NCSC zal, indien mogelijk, de verkregen informatie over technische
kwetsbaarheden in samenspraak tussen organisaties en melders
gebruiken om de kennis verder te delen met de ICT-community. Dit kan
bijvoorbeeld door het openbaar maken van een deel van informatie, het
schrijven of bijwerken van een factsheet of whitepaper of het gericht
informeren van organisaties.
• De melder zal een melding zo snel als mogelijk doen, om te voorkomen
dat kwaadwillenden de kwetsbaarheid ook vinden en er misbruik van
maken.
• De melder zal de melding op een vertrouwelijke manier bij de
organisatie doen om te voorkomen dat anderen ook toegang kunnen
krijgen tot deze informatie.
• De melder zal niet op onevenredige wijze handelen:
• door gebruik te maken van social engineering om zich op die wijze
toegang te verschaffen tot het systeem.
• door een eigen backdoor in een informatiesysteem plaatsen om
vervolgens daarmee de kwetsbaarheid aan te tonen, aangezien
daarmee aanvullende schade kan worden aangericht en onnodige
veiligheidsrisico’s worden gelopen.
• door een kwetsbaarheid verder uit te nutten dan noodzakelijk is om
de kwetsbaarheid vast te stellen.
• door gegevens van het system te kopiëren, te wijzigen of te
verwijderen. Een alternatief hiervoor is het maken van een directory
listing van een systeem.
• door veranderingen in het systeem aan te brengen.
• door herhaaldelijk toegang tot het systeem te verkrijgen of de toegang
te delen met anderen.
• door gebruik te maken van het zogeheten “bruteforcen” van toegang
tot systemen, daarbij is immers geen sprake van een kwetsbaarheid,
maar alleen van het herhaaldelijk proberen van wachtwoorden.
• Als melder en organisatie overeen komen dat de kwetsbaarheid
openbaar wordt gemaakt dan maakt een melder het pas openbaar als
alle betrokken organisaties goed zijn geïnformeerd en zij aangegeven
hebben dat de kwetsbaarheid is opgelost, conform de gemaakte
afspraken.
• Tot slot kunnen de melder en de betrokken organisatie afspraken
maken over het informeren van de bredere ICT-community. Dit kan
bijvoorbeeld het geval zijn bij een (nog niet bekende) kwetsbaarheid
waarvan bekend is dat die op meer plaatsen aanwezig kan zijn. Het
NCSC kan hierbij betrokken worden om de doelgroepen Rijksoverheid
en vitaal te bedienen.
8
Leidraad om te komen tot een praktijk van Responsible Disclosure
• Het NCSC zal, in gevallen dat een melding wordt gedaan bij het NCSC,
trachten de (potentiële) melder en de organisatie met elkaar in contact
te brengen.
• Het NCSC zal, als zij geïnformeerd wordt over een kwetsbaarheid,
andere partijen binnen de doelgroep van Rijksoverheid en vitale
sectoren informeren.
Nationaal Cyber Security Centrum
Wilhelmina van Pruisenweg 104 | 2595 AN | Den Haag
Postbus 117 | 2501 CC| Den Haag
T 070 888 75 55
F 070 888 75 50
[email protected]
www.ncsc.nl
Download